GitHub 7 月更改默认设置堵攻击途径，虽姗姗来迟但意义重大！

攻击可能转移至其他途径

OWASP孵化项目中CVE Lite CLI的维护者Sonu Kapoor表示，GitHub更改设置或迫使供应链攻击转移途径，无法消除npm供应链风险，攻击者仍可转向其他途径。安全医疗设备公司Threat Detective的总监Alan Parkinson称，更老练的攻击者早已绕过该漏洞，V12主要对不太老练的威胁行为者关上了门。GitHub首席工程师Zach Steindler表示，供应链攻击迫使他们更改默认设置，这些更改是提供高影响力安全默认设置的好方法。

更改姗姗来迟

Greyhound Research首席分析师Sanchit Vir Gogia表示，GitHub是最后一个更改默认设置的代码仓库，npm只是最终采用了规则。Steindler未反驳该观点，称现在是做出改变的时候了。Gogia认为，这一更改虽姗姗来迟但却是好举措，是控制理念的改变。

不良默认设置成为基础设施

Gogia认为，npm拖延是因其有风险的默认设置有支持者，不良默认设置会成为基础设施，关闭它是根本性变革。

责任转移

这一更改的真正压力来自监管机构，责任转移使不安全默认设置站不住脚。Kapoor认同，长期使用的程序使安全漏洞存在时间更长，更改默认设置会打破npm生态系统固有假设，包管理器正从隐式信任转向显式信任。

痛苦中的价值

网络安全顾问、FormerGov执行董事Brian Levine认为，堵住安全漏洞意义重大，npm更改默认设置改变了全球企业开发环境安全态势，新流程或提高安全性，创建可审计记录对受监管行业尤为重要。

相关主题

GitHub、版本控制系统、软件开发、漏洞、安全